httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Norman Timmler <li...@inlet-media.de>
Subject Re: Location und Zugangsberechtigung
Date Fri, 10 Feb 2006 07:53:47 GMT
Am Freitag, den 10.02.2006, 00:20 +0100 schrieb Max Dittrich:
> Hi,
> 
> Norman Timmler schrieb:
> > Hallo,
> > 
> > ich habe jetzt schon viele Stunden daran gesessen, folgendes Problem zu
> > lösen, obwohl es eher trivial erscheint:
> > 
> > Der Virtuelle Host ist Passwort geschützt. Nun möchte ich per Location
> > Direktive eine Ausnahme definieren, aber es gelingt mir nicht.
> > 
> >   <LocationMatch "^/">
> >     Order deny,allow
> >     Deny from all
> >     Allow from .myhost.de
> 
> Da ich sowas ja selten sehe, muß ich gleich mal nachfragen: Hast Du 
> geprüft ob Du damit das Gewünschte erreichst? Also ist die 
> Namensauflösung auf dem Server korrekt, die Reverse-Zone ordentlich 
> gepflegt und Du testest nicht über localhost *g*?
> Ansonsten ist so eine doppelte DNS-Anfrage bestimmt eine ziemliche Bremse.

Ich verstehe nicht ganz, von was du genau sprichst. Meinst Du die
Kombination von 'Deny from all' und 'Allow from .myhost.de'? Mir fällt
da kein anderer Weg ein, alle auszusperren, außer Benutzern der
Domain .myhost.com. Oder meinst Du den Punkt vor dem Domainnamen?
Alternativ kann ich hier auch eine IP Adresse angeben. Kein Problem.

> 
> >     AuthType Basic
> >     AuthName "authentifizieren"
> >     AuthUserFile /etc/apache2/.htpasswd
> >     AuthGroupFile /etc/apache2/.htgroups
> >     Require group admins
> >     Satisfy Any
> >     # FUNKTIONIERT
> >   </LocationMatch>
> >   <LocationMatch "^/public">
> >     Order deny,allow
> >     Allow from all
> >     # HIER WIRD TROTZDEM NACH BENUTZERNAME UND PASSWORT GEFRAGT
> >   </LocationMatch>
> > </VirtualHost>
> > 
> > Hat jemand einen Tip für mich?
> 
> Browser ( - (Firefox + Extensions)) haben ja die doofe Angewohnheit auch 
>   für "tieferliegende" URLs nach Zugangsdaten zu fragen, wenn sie einmal 
> einen Authorization-Request gesehen haben. Denke mal Du hast mit einem 
> frischen Browser auch direkt die Adresse /public/bla getestet?

Ja, das habe ich alles getestet. Ich Benutze Firefox mit der
Webdeveloper Extension, mit der ich die HTTP Authentication löschen
kann. Davon abgesehen, sitze ich auch schon etwas Länger an dem Problem,
so dass der Browser zwischenzeitlich auch mal zu war.

> Vielleicht kann man auch etwas mit einer vom Wert einer 
> Umgebungsvariable abhängigen Zugriffskontrolle machen.

Wie könnte so etwas denn ungefähr aussehen? Im Location
Container /public eine Variable setzen und im Location Container von /
nur authentifizieren, wenn sie nicht gesetzt ist? Kannst Du ein Beispiel
geben?

-- 
Norman Timmler

http://blog.inlet-media.de


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message